一种基于攻击图邻接矩阵的网络安全评估装置转让专利
申请号 : CN201310329096.1
文献号 : CN103368976B
文献日 : 2015-03-04
发明人 : 张小松 , 牛伟纳 , 陈瑞东 , 王东 , 陈厅 , 张建松 , 江威 , 李建彬
申请人 : 电子科技大学
摘要 :
本发明提供了一种基于攻击图邻接矩阵的网络安全评估装置,包括:信息收集装置:实时收集网络中的所有信息;原子攻击图生成装置:生成对网络安全进行后续分析所需要的主机对间的初始原子攻击图;矩阵计算装置:一是将生成的原子攻击图转化为对应的邻接矩阵,二是通过设置迭代次数来计算邻接矩阵对应的迭代矩阵;网络安全分析装置:最终生成的迭代矩阵的基础上得到关键主机、关键路径等信息;结果呈现装置:将找到的关键主机和关键路径以及网络脆弱性指标可视化地呈现出来。其高效率,适用于大规模和高速网络。能够提高对目标网络评估的实时性。评估准确率高,能够准确地识别出关键路径和关键主机。可视化程度高,便于管理人员查看、分析、维护。
权利要求 :
1.一种基于攻击图邻接矩阵的网络安全评估装置,其特征在于包括:
信息收集装置:实时收集网络中的所有信息;收集目标网络中的网络布局、路由规则和防火墙信息,利用扫描工具或网管软件获取网络设备和主机配置信息,使用漏洞扫描策略扫描网络主机来获取主机系统的基本配置信息和存的漏洞信息;
原子攻击图生成装置:生成对网络安全进行后续分析所需要的主机对间的初始原子攻击图;利用信息收集装置获得的网络拓扑信息、主机漏洞信息来生成初始的原子攻击图,确定攻击图状态节点权重,即确定实施攻击成功的概率;
矩阵计算装置:一是将生成的原子攻击图转化为对应的邻接矩阵,二是通过设置迭代次数来计算邻接矩阵对应的迭代矩阵;
网络安全分析装置:最终生成的迭代矩阵的基础上得到关键主机、关键路径信息;
所述漏洞扫描策略分为主动式和被动式两种,
主动式漏洞扫描策略:根据扫描手段的不同又分为基于主机的漏洞检测和基于网络的漏洞检测;
基于主机的漏洞检测:目标主机上安装代理或者服务,访问主机的文件系统、注册表、系统服务和审计信息,完整的扫描到所有漏洞;
基于网络的漏洞检测:主要是通过网络远程扫描计算机;
被动式漏洞扫描策略:基于特征匹配原理:被动地捕获目标主机的网络数据流并对其进行分析,然后与数据库中漏洞定义规则进行匹配来判断主机系统是否存漏洞;
将生成的主机对间的原子攻击图转化为对应的邻接矩阵:两个主机间
使用L(h,v)来表示节点损失,L(h,v)=C(h)*S(v),其中C(h)表示主机的重要程度,根据主机提供服务和网络功能的不同分为不同的等级对对其进行量化,使其取值范围落入区间[0,1]内;S(v)表示脆弱性造成危害的严重程度,利用CVSS评分机制进行量化,使其取值范围落入区间[0,10]内;
矩阵计算装置:
邻接矩阵A=(aij)m×l,B=(bij)m×l,对角线元素都为0,C是一个m×n矩阵,且C中的元素 同时对角线元素都为0,记作 其中aij、bij分别表示邻接矩阵A和B中的元素,m、l表示矩阵的行、列,如果A=B,m=l,则C为A的2步迭代矩阵,那么 就叫做A的n步迭代矩阵;
通过查看计算出来的各次损失迭代矩阵中大于给定阈值的元素值,找出关键路径;
将最后生成的迭代矩阵中各行元素分别求和并按照从大到小排序,找出大于给定阈值行号,进而求出第一类关键主机,将最后生成的迭代矩阵中各列元素求出来并按照由大到小排序,找出大于给定阈值的列号,进而求出第二类关键主机;
同时使用加权平均聚合的方法来对主机脆弱性进行聚合求得网络脆弱性指数评估值来判断目标网络的安全级别;
还包括结果呈现装置:将找出来的关键主机和关键路径在拓扑结构图中动态地显示出来,关键路径是一台主机经过几台主机作为跳板进行多次攻击才渗透到目标主机所形成的路径则需要在拓扑结构图中先将此路径找出来再用加粗的线动态展示出来;第一类和第二类关键主机就拓扑结构图中分别用红和黄来表示;而当前网络的脆弱性则在拓扑结构图的右上角用矩形块来表示,不同的颜色代表网络处于不同的状态,红色表示网络此时处于严重危险状态,黄色表示处于危险状态,同时生成一张网络脆弱性指标随时间动态变化的趋势图,并生成对应的日志信息;
攻击图状态节点权重的确定采用以下方式进行确定:
使用PageRank计算模型R(H)=(1-d)/N+d*(R(H1)/C(H1)+...+R(Hn)/C(Hn)),其中n表示攻击图中状态节点的数量,R(H)表示攻击图状态节点H的权值,d是阻尼系数一般取值是
0.85,R(Hi)表示指向状态节点H的Hi节点的权值,C(Hi):状态节点Hi出度弧线的数量;
使用NVD数据库中的AccessComplexity字段属性值E量化用来表示权重,E为高则权重为0.35,E为中则权重为0.61,E为低则权重为0.71,E为不定的话权重取值为0.71。
说明书 :
一种基于攻击图邻接矩阵的网络安全评估装置
技术领域
[0001] 本发明提出的一种基于攻击图邻接矩阵的网络安全评估装置,属于计算机网络安全技术领域。
背景技术
[0002] 随着信息化的推广,我国网民数量不断攀升。根据中国互联网络信息中心(CNNIC)2013年1月份发布的第31次中国互联网络发展状况统计报告,截止2012年12月底,我国已经拥有5.64亿网民,与2012年6月底的统计数据相比增加了0.26亿人次;互联网普及率已经达到42.1%,较2011年底提高3.8个百分点。工业化和网络技术不断更新进步,计算机网络已经渗透进我们工作、生活和学习的方方面面,给我们的日常生活带来了极大的便利,例如:我们可以利用网络进行购物、订购车票和飞机票、预定酒店、查看新闻尽早了解国内外的最新资讯、网上炒股……;同时很多政府企业也都有自己的门户网站,使得计算机网络不管是民用、商用还是国防领域都发挥着越来越重要的作用。
[0003] 由于网络建设初始并没有过多的考虑安全问题以及TCP/IP协议本身的缺陷,还有经济利益驱使下越来越多的不法分子对网络进行攻击破坏、窃取用户敏感信息等等。近年来网络攻击事件频频发生,攻击者使用的攻击手段也愈发高明。仅2012年爆发的重大网络攻击事件就有十余起,其中包括:源代码被盗事件、重大黑客攻击事件、恶意软件肆虐事件、信息泄密事件、重大漏洞事件、操作系统安全事件,从国内知名电子商务网站—京东商城到国外知名企业赛门铁克以及Zappos、LinkedIn等都遭受到了攻击,就连英国的剑桥、美国的哈佛大学等知名学府都未能幸免于难。以上这些攻击事件令人发省,网络安全问题已经成为制约国家和企业长远发展的重大瓶颈,所以准确地分析评估网络安全状况,能够帮助网络管理人员提高网络防护能力。网络攻击事件不管是对个人、企业还是国家都会造成巨大损失,据统计,仅中国网民每年需要为网络攻击支付的费用就达150多亿,所以对网络安全进行管理具有重大的经济效益和实用价值。而对网络安全进行管理的基础就是要对网络安全进行评估,通过充分评估不安全因素可能带来的威胁与影响程度以及寻找关键主机以及关键攻击路径所的基础上,通过采取相应的措施来主动保护计算机和网络安全从而降低系统遭受攻击和破坏的可能性。
[0004] 传统的漏洞评估工具是将各个独立的漏洞可能带来的风险进行简单的叠加,而单纯地了解网络中存的漏洞并不能准确地评估网络安全状况。实际网络环境中,攻击主机想要获取目标主机的权限来对目标主机进行操作,中间往往需要经过多个主机作为跳板。而网络攻击图从攻击者角度出发综合分析网络配置和脆弱性信息,不仅能够清楚知道网络中存的漏洞和脆弱性,还可以发现复杂网络中关键的攻击路径和关键主机使得安全分析人员可以有针对地采取措施来提高网络安全性。国内外研究者对此做出了很多研究并取得一定成果,提出了很多攻击图生成模型和算法。然而利用已有方法生成的攻击图适用于小规模网络(主机台数<5),大规模尤其是超大规模网络中利用这些方法生成的攻击图就会非常复杂、庞大不利于做进一步的分析。采用邻接矩阵只需要对建立简单的原子攻击图,不需要建立起所有的攻击路径,不仅有利于网络管理员快速、方便地找出大规模网络中的第一类和第二类关键主机,从而有助于管理员有重点地对网络进行安全维护,其中第一类关键主机是指主机自身的安全性对网络中其他主机的安全性影响很大,一旦遭受到攻击网络中很多主机也有可能被攻击;第二类关键主机是指网络中很多主机都可以对该主机发起攻击。
[0005] 网络安全评估需要强实时性、高度可视化结果,所以本专利提出使用基于原子攻击图邻接矩阵来计算迭代矩阵的方法对网络安全性进行评估,同时提出单调性假设:攻击者不会为了获取已有的权限而发起攻击,攻击者也不会进过一系列的攻击状态又回到之前经过的状态也就是说不存回路;可以降低攻击图的复杂度、提高攻击图的可视化。
[0006] 与本发明相关的专利
[0007] 登陆中华人民共和国国家知识产权局,按照关键字“攻击图”搜索,找到4个相关专利,按照关键字“网络安全评估”搜索,找到2个相关专利。
[0008] 一种深度优先的攻击图生成方法(申请号:200710144693.1)
[0009] 此专利提出了一种基于深度优先算法的攻击图生成方法,首先收集当前网络的所有安全要素来构成初始状态,然后使用prolog系统搜索攻击者到达目标状态前所有可能经过的网络状态,再根据搜索到的网络状态之间的依赖关系构造攻击路径,最后将构造的攻击路径组合成网络攻击图。本专利的优点是使用的深度优先算法不仅降低了攻击图的规模,而且还能使得攻击图中不存非目标节点。该发明主要是攻击图生成算法的提出,最终也只是单纯的生成攻击图并没有深入的对攻击图进行分析。
[0010] 面向网络安全告警关联的攻击图生成系统(申请号:200810037824.0)[0011] 此专利提出了一个由网络初始配置信息模块、OVAL漏洞扫描报告收集模块、网络连通性分析模块、数据结构建立模块、知识库和攻击图生成模块的面向网络安全告警关联的攻击图生成系统。该攻击图生成系统的优点是利于工程实现,但是本专利只是生成攻击图,并没有使用攻击图来对网络安全进行进一步的分析评估。
[0012] 一种基于攻击图的入侵响应方式(申请号:201110181511.4)
[0013] 此专利是入侵检测和响应的参考模型—IRAG模型的基础上提出操作、响应和损失三种代价并以此来选择对应的防护措施。本发明只考虑攻击者的攻击、系统的响应和攻击者下一步的攻击过程,主要是针对系统的响应动作以及攻击者选择收益最大的攻击行为,和我们提出的基于攻击图邻接矩阵的网络安全评估关系不是很大。
[0014] 一种求解K最大概率攻击图的网络安全分析(申请号:201210224533.9)[0015] 此专利通过各个节点存储累计概率最大的前K条攻击路径,主要是为了解决基于访问等级向量的网络安全评估算法中存的问题:只能识别生成攻击网络各个节点的最大概率路径而不能生成攻击网络节点概率最大的前K条攻击路径。本发明只是考虑了攻击路径的问题,却没有针对其他因素进行评估,所以评估不够全面。
[0016] 一种基于NBA的网络安全评估方法(申请号:200910050505.8)[0017] 此专利将网络中的一个连接或独立的包看成一个流,通过记录流经网络的所有流的属性来分析网络中每台主机的网络行为参数,并计算每个主机的网络行为参数允许的最大阀值,如果网络中某台主机的特征参数值大于最大阀值就认为网络出现异常。主要是一种基于网络行为分析的网络安全评估方法,和我们提出的基于攻击图邻接矩阵的网络安全评估方法关系不大。
[0018] 一种面向网络安全评估的漏洞扫描系统及其处理方法(申请号:200910112916.5)[0019] 此专利将漏洞扫描系统和入侵检测系统结合起来,并引入了预警功能和调度功能,使得系统可以有选择地对目标网络进行漏洞扫描和安全评估并形成一份较为客观、准确的漏洞扫描报告。本发明是网络出现异常情况时通知预警模块并由预警模块产生报警和通过调度进程模块触发扫描引擎模块来对整个网络进行扫描。该专利并不能识别关键路径以及关键主机等重要信息。
发明内容
[0020] 本发明的目的于解决的以下技术问题:
[0021] 一、高效率,适用于大规模和高速网络
[0022] 本发明的设计目标之一是能够适用于大型网络和高速网络中,从而可以对大范围的计算机网络安全性进行分析评估来进一步采取相应的防御保护措施来保证网络的安全,这就对本发明所提出的网络安全性评估方法的效率提出了很高的要求。本发明提出的网络安全性评估方法是基于原子攻击图邻接矩阵的,只需要知道基本入侵并不需要事先求出起所有的攻击路径来建立原子攻击图,因此具有很高的效率,同时建立起来的攻击图也不是那么复杂并用矩阵进行计算来对网络安全进行评估可以运用大型网络环境中。
[0023] 二、对网络安全性进行分析评估的数据更可靠
[0024] 本发明的设计目标之一是对网络安全进行分析评估的数据更加可靠,从而可以准确地寻找到关键主机使得网络管理员可以有重点地对目标网络进行维护。本发明提出的网络安全评估装置是将反应网络中各主机对间基本攻击关系的简单攻击图构造成初始的邻接矩阵,并利用操作函数对之进行迭代运算,得到最终的迭代矩阵。通常重要主机的确定都是依据网络管理人员的经验,而此种情况下确定的重要主机具有很强的主观意识,并不一定是真实反映网络状况的关键主机。而使用基于迭代矩阵的方法网络整体安全性分析以及两类关键主机的寻找上都更精确、可靠。
[0025] 三、可视化程度高
[0026] 本发明的设计目标之一是将评估后的结果可视化地显示出来,使网络管理人员清晰的知道网络中出现问题的主机或者路径,方便安全维护人员对网络进行维护、管理。本发明提出的网络安全评估装置最终对网络安全评估。
[0027] 为了解决上述问题,本发明采用以下技术方案:
[0028] 一种基于攻击图邻接矩阵的网络安全评估装置,其特征在于包括:
[0029] 信息收集装置:实时收集网络中的所有信息;
[0030] 原子攻击图生成装置:生成对网络安全进行后续分析所需要的主机对间的初始原子攻击图;
[0031] 矩阵计算装置:一是将生成的原子攻击图转化为对应的邻接矩阵,二是通过设置迭代次数来计算邻接矩阵对应的迭代矩阵;
[0032] 网络安全分析装置:最后生成的迭代矩阵的基础上得到两类关键主机、关键路径等信息,如果某条路径被攻击的最大概率大于设定的初始阈值则称此路径为关键路径。
[0033] 结果呈现装置:将最终找到的两类关键主机和关键路径网络拓扑图中动态地显示出来。
[0034] 上述技术方案中,所述信息接收装置:收集目标网络中的网络布局、路由规则和防火墙信息,利用扫描工具或网管软件获取网络设备和主机配置信息,采用漏洞扫描策略扫描网络主机来获取主机系统的基本配置信息和存的漏洞信息。
[0035] 上述技术方案中,所述漏洞扫描策略分为主动式和被动式两种,[0036] 主动式漏洞扫描策略:根据扫描手段的不同又分为基于主机的漏洞检测和基于网络的漏洞检测;
[0037] 基于主机的漏洞检测:目标主机上安装代理或者服务,访问主机的文件系统、注册表、系统服务和审计信息,完整的扫描到所有漏洞;
[0038] 基于网络的漏洞检测:主要是通过网络远程扫描计算机;
[0039] 被动式漏洞扫描策略:基于特征匹配原理:被动地捕获目标主机的网络数据流并对其进行分析,然后与数据库中漏洞定义规则进行匹配来判断主机系统是否存漏洞。
[0040] 上述技术方案中,所述原子攻击图生成装置:利用信息收集装置获得的网络拓扑信息、主机漏洞信息,通过限定攻击步骤数为1来根据一般主机攻击图生成算法生成主机对间初始的原子攻击图,确定攻击图状态节点权重,即确定实施攻击成功的概率;
[0041] 攻击图状态节点权重的确定可以使用PageRank计算模型R(H)=(1-d)/N+d*(R(H1)/C(H1)+...+R(Hn)/C(Hn)),其中n表示攻击图中状态节点的数量,R(H)表示攻击图状态节点H的权值,d是阻尼系数一般取值是0.85,R(Hi)表示指向状态节点H的Hi节点的权值,C(Hi):状态节点Hi出度弧线的数量。也可以使用NVD数据库中的AccessComplexity字段属性值E量化用来表示权重,如:E为高则权重为0.35,E为中则权重为0.61,E为低则权重为0.71,E为不定的话权重取值也为0.71。可以以CAPEC库为确定权值的依据,对攻击信息中典型攻击发生可能性以及攻击者能力和知识需求属性中Very Low、Low、Medium、High、Very High五个级别进行量化,使最后的取值范围落入区间[0,1]内。
[0042] 上述技术方案中,所述矩阵计算装置:
[0043] 将生成的主机对间的原子攻击图转化为对应的邻接矩阵:如果两个主机间可以生成攻击图则对应的攻击图邻接矩阵元素aij=Weight;其中Hi,Hj表示主机i和主机j,i、j=1,2,…,n(n是网络中所有主机数量之和),Weight则是权重表示Hi对Hj攻击成功的最大概率。
[0044] 攻击者利用漏洞对主机进行攻击导致主机资产损失,损失的资产大小不仅和利用的漏洞以及发起的攻击行为有关,还和资产的重要程度紧密相关,所以状态节点的损失是由主机的重要程度和漏洞的危险程度决定的。
[0045] 我们使用L(h,v)来表示节点损失,L(h,v)=C(h)*S(v),其中C(h)表示主机的重要程度,我们根据主机提供服务和网络功能的不同分为不同的等级对对其进行量化,使其取值范围落入区间[0,1]内;S(v)表示脆弱性造成危害的严重程度,利用CVSS评分机制进行量化,使其取值范围落入区间[0,10]内。
[0046] 邻接矩阵A=(aij)m×l,B=(bij)m×l,将对角线元素都为0,C是一个m×n矩阵,且C中的元素同时对角线元素都为0,记作 其中aij、bij分别表示邻接矩阵A和B中的元素,m、l表示矩阵的行、列。
[0047] 如果A=B,m=l,则C为A的2步迭代矩阵,那么 就叫做A的n步迭代矩阵。
[0048] 上述技术方案中,所述网络安全分析装置:
[0049] 通过查看计算出来的各次损失迭代矩阵中大于给定阈值的元素值,来找处关键路径;
[0050] 将最后生成的迭代矩阵中各行元素分别求和并按照从大到小排序,来找出大于给定阈值行号,进而求出第一类关键主机,
[0051] 将最后生成的迭代矩阵中各列元素求出来并按照由大到小排序,来找出大于给定阈值的列号,进而求出第二类关键主机;
[0052] 同时使用加权平均聚合的方法来对主机脆弱性进行聚合求得网络脆弱性指数评估值来判断目标网络的安全级别。
[0053] 上述技术方案中,所述结果呈现装置:
[0054] 将得到的关键主机和关键路径网络拓扑结构图中形象地展示出来,以及将网络安全级别用不同的颜色来表示。
[0055] 本发明技术方案带来的有益效果:
[0056] 一、高效率,适用于大规模和高速网络
[0057] 本发明的评估方法是基于主机对间原子攻击图的,不需要生成所有的攻击路径来构建攻击图,因此攻击图的复杂程度不高,适用于大规模和高速网络。
[0058] 二、评估准确率高,能够准确地识别出关键路径和关键主机
[0059] 本发明的网络安全评估装置是将反应网络中各主机对间基本攻击关系的简单攻击图构造成初始的邻接矩阵,并利用操作函数对之进行迭代运算,得到最终的迭代矩阵。通过对矩阵的分析来找出关键主机和关键路径而不是单靠网络管理人员的经验来找出重要主机,所以评估准确率高。
[0060] 三、实时性强,可视化程度高
[0061] 本发明的评估方法是基于实时收集目标网络的信息并快速建立起来主机对间简单攻击图,使用矩阵计算速度快速,可是一定程度上提高对目标网络进行评估的实时性。本发明最终将找出的关键主机和关键路径网络拓扑结构图中动态的展现出来以及将网络安全等级用不同颜色来表示,所以可视化程度高,方便网络管理人员查看、分析、处理。
附图说明
[0062] 图1为本发明的简单的主机对间的原子攻击图。
具体实施方式
[0063] 下面给出本发明提出的网络安全评估装置的一个具体实施例,本实施例不仅适用于小型网络,对大型网络同样适用。
[0064] 本发明实施例一:
[0065] 信息收集装置的实施方式
[0066] 从网路拓扑结构图中可以获取网络中各台主机的连接方式。通常情况下,一个网络被分割成被防火墙或者路由器隔开的几个不同的区域,每个区域内的主机是相互连通的。如果不知道网络拓扑图,则利用各种路由搜索算法和相关协议包括:DNS、ICMP、SNMP、RIP、OSPF、操作系统和体系结构相关协议来获取整个网络中每个设备的路由信息,然后利用获取得到的信息自动生成需拓扑结构图。利用扫描工具或网管软件获取网络设备和主机配置信息。由于主机需要提供服务必须开放自身端口,所以存在被远程攻击的可能性,同时主机自身也存着脆弱性,所以需要获得网络以及网络中设备上存的漏洞信息,可以通过漏洞扫描策略来扫描网络和网络中存的设备。
[0067] 其中漏洞扫描策略分为主动式和被动式两种,根据扫描手段的不同又将主动式漏洞扫描策略分为基于主机的漏洞检测和基于网络的漏洞检测这两种;其中基于主机的漏洞检测是在目标主机上安装代理或者服务,访问主机的文件系统、注册表、系统服务和审计信息,完整的扫描到所有漏洞;而基于网络的漏洞检测主要是通过网络远程扫描计算机;被动式漏洞扫描策略是基于特征匹配原理进行的:被动地捕获目标主机的网络数据流并对其进行分析,然后与数据库中漏洞定义规则进行匹配来判断主机系统是否存漏洞。
[0068] 原子攻击图生成装置的实施方式
[0069] 网络中有服务器、用户主机、路由器和防火墙等各种元素,本专利中我们将这些可能存安全性问题的元素都称之为主机。利用信息收集装置获得的网络拓扑信息、主机漏洞信息来生成初始的原子攻击图,此需要确定权重也就是实施攻击成功的概率。本发明中攻击图状态节点权重可以使用PageRank计算模型R(H)=(1-d)/N+d*(R(H1)/C(H1)+...+R(Hn)/C(Hn)),其中n表示攻击图中状态节点的数量,R(H)表示攻击图状态节点H的权值,d是阻尼系数一般取值是0.85,R(Hi)表示指向状态节点H的Hi节点的权值,C(Hi):状态节点Hi出度弧线的数量。也可以使用NVD数据库中的AccessComplexity字段属性值E量化用来表示权重,如:E为高则权重为0.35,E为中则权重为0.61,E为低则权重为0.71,E为不定的话权重取值也为0.71。可以以CAPEC库为确定权值的依据,对攻击信息中典型攻击发生可能性以及攻击者能力和知识需求属性中Very Low、Low、Medium、High、Very High五个级别进行量化,使最后的取值范围落入区间[0,1]内。
[0070] 矩阵计算装置的实施方式
[0071] 将生成的主机对间的原子攻击图转化为对应的邻接矩阵:如果两个主机间可以生成攻击图则对应的攻击图邻接矩阵元素aij=Weight;其中Hi,Hj表示主机i和主机j,i、j=1,2,…,n(n是网络中所有主机数量之和),Weight则是权重表示Hi对Hj攻击成功的最大概率。
[0072] 攻击者利用漏洞对主机进行攻击导致主机资产损失,损失的资产大小不仅和利用的漏洞以及发起的攻击行为有关,还和资产的重要程度紧密相关,所以状态节点的损失是由主机的重要程度和漏洞的危险程度决定的。使用L(h,v)来表示节点损失,L(h,v)=C(h)*S(v),其中C(h)表示主机的重要程度,我们根据主机提供服务和网络功能的不同分为不同的等级对对其进行量化,使其取值范围落入区间[0,1]内;S(v)表示脆弱性造成危害的严重程度,利用CVSS评分机制进行量化,使其取值范围落入区间[0,10]内。
[0073] 邻接矩阵A=(aij)m×l,B=(bij)m×l,将对角线元素都为0,C是一个m×n矩阵,且C中的元素 同时对角线元素都为0,记作 其中aij、bij分别表示邻接矩阵A和B中的元素,m、l表示矩阵的行、列。如果A=B,m=l,则C为A的2步迭代矩阵,那么 就叫做A的n步迭代矩阵。
[0074] 该装置中可以通过设置相应的迭代次数来计算对应的迭代矩阵以便于后面对网络安全进行评估。假设生成的原子攻击图如下图1所示,其中节点中的值表示主机的重要程度,连接节点的边上的一对数中前面的表示成功攻击的概率而后面的则表示脆弱性被利用造成的危害。其对应的邻接矩阵A为
[0075] 主机损失邻接矩阵B为
[0076] 网络安全评估装置的实施方式
[0077] 通过查看计算出来的各次损失迭代矩阵中大于给定阈值的元素值,如果元素值主机损失邻接矩阵中则表示两主机通过漏洞进行一次攻击所形成的路径就是一条关键路径;如果迭代将最后生成的迭代矩阵中各行元素分别求和并按照从大到小排序,来找出大于给定阈值行号,进而求出第一类关键主机,将最后生成的迭代矩阵中各列元素求出来并按照由大到小排序,来找出大于给定阈值的列号,进而求出第二类关键主机。例如,主机损失邻接矩阵B中元素值b46和b56都大于设定的初始阈值0.7,说明主机4利用漏洞对主机7进行的一次原子攻击路径和主机5利用脆弱性对主机7进行的一次原子攻击所形成的路径都是关键路径。假设设定的迭代次数就是1,则邻接矩阵A各行元素求和后按照从大到小排序为:第三行1.0>第2行0.9=第1行0.9>第5行0.7>第4行0.6>第六行0,其中第三、二、一行元素和都大于初始阈值0.8,则说明主机1,2,3属于第一类关键主机;邻接矩阵A各列元素求和后按照从大到小排序为:第四列1.3=第六列1.3>第2列0.6=第五列0.6>第三列0.3>第一列0,其中第四列和第六列元素和都大于初始阈值则说明主机4,6属于第二类关键主机;其中阈值根据环境的变化也会随着进行调整。
[0078] 同时使用加权平均聚合的方法来对主机脆弱性进行聚合求得网络脆弱性指数评估值来判断目标网络的安全级别。
[0079] 结果呈现装置的实施方式
[0080] 将找出来的关键主机和关键路径网络拓扑图中动态的显示出来,如果关键路径是一台主机经过好几台主机作为跳板进行多次攻击才渗透到目标主机所形成的路径则需要拓扑结构中先将此路径找出来再用加粗的线动态展示出来;第一类和第二类关键主机就拓扑结构图中分别用红和黄来表示;而当前网络的脆弱性则拓扑结构体的右上角用矩形块来表示,不同的颜色代表网络处于不同的状态,比如红色表示网络此时处于严重危险状态,黄色表示处于危险状态等等,同时生成一张网络脆弱性指标随时间动态变化的趋势图,并生成对应的日志信息,便于网络管理人员进行后期的查看、分析工作。